« Injection sql » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 6 : | Ligne 6 : | ||
L’injection SQL est une technique permettant d’injecter des éléments, notamment du code de type SQL (''Structured Query Language'', langage utilisé pour manipuler les bases de données), dans les champs des formulaires web ou dans les liens des pages afin de les envoyer au serveur web. De cette façon, les attaquants outrepassent les contrôles de sécurité et parviennent à afficher ou à modifier des éléments présents dans une base de données, par exemple des mots de passe ou des coordonnées bancaires. L’injection SQL permet ainsi l’accès à toutes les données personnelles (par exemple, des identités ou coordonnées d’utilisateurs ou d’employés) ou non personnelles (les articles présents, les prix de ces derniers, etc.), contenues dans une base de données SQL.<ref>https:// | L’injection SQL est une technique permettant d’injecter des éléments, notamment du code de type SQL (''Structured Query Language'', langage utilisé pour manipuler les bases de données), dans les champs des formulaires web ou dans les liens des pages afin de les envoyer au serveur web. De cette façon, les attaquants outrepassent les contrôles de sécurité et parviennent à afficher ou à modifier des éléments présents dans une base de données, par exemple des mots de passe ou des coordonnées bancaires. L’injection SQL permet ainsi l’accès à toutes les données personnelles (par exemple, des identités ou coordonnées d’utilisateurs ou d’employés) ou non personnelles (les articles présents, les prix de ces derniers, etc.), contenues dans une base de données SQL.<ref>[https://www.cnil.fr/fr/definition/injection-sql#:~:text=L%27injection%20SQL%20est%20une,les%20envoyer%20au%20serveur%20web. https://www.cnil.fr/fr/definition/injection-sql#:~:text=L%27injection%20SQL%20est%20une,les%20envoyer%20au%20serveur%20web.]</ref> | ||
Les attaques SQL sont relativement simple à mettre en oeuvre et peuvent avoir de lourdes concéquences. (exposition des données sensibles, vol de données personnelles et usurpation d'identité, obtention des droits administrateur sur le serveur...) Outre le coût financier qui peut s’avérer très important, les attaques par injection SQL se traduisent également par une perte de confiance des utilisateurs et une atteinte à la réputation de l’entreprise. | Les attaques SQL sont relativement simple à mettre en oeuvre et peuvent avoir de lourdes concéquences. (exposition des données sensibles, vol de données personnelles et usurpation d'identité, obtention des droits administrateur sur le serveur...) Outre le coût financier qui peut s’avérer très important, les attaques par injection SQL se traduisent également par une perte de confiance des utilisateurs et une atteinte à la réputation de l’entreprise. | ||
| Ligne 14 : | Ligne 14 : | ||
Une injection SQL peut avoir un impact énorme, surtout si les privilèges sur le serveur et sur la base de données sont trop permissifs. | |||
Tout d’abord, un attaquant peut récupérer des informations sensibles, comme les identifiants et mots de passe des utilisateurs ou les informations relatives aux cartes bancaires. En effet, les injections SQL sont à l’origine de nombreuses compromissions de mots de passe et de données de sites et d’applications web. | |||
Un autre cas d’utilisation de l’injection SQL consiste à '''détourner la logique prévue de l’application web'''. L’exemple le plus courant est le contournement d’une page d’authentification. Les attaquants peuvent également être en mesure de '''lire et d’écrire des fichiers directement sur le serveur''', ce qui peut conduire à placer des backdoors (portes dérobées) sur le serveur, puis à prendre le contrôle de l’application.<ref>https://www.vaadata.com/blog/fr/injections-sql-principes-impacts-exploitations-bonnes-pratiques-securite/</ref> | |||
== Types d'injections == | == Types d'injections == | ||
| Ligne 24 : | Ligne 30 : | ||
== Ressources == | == Ressources == | ||
<references /> | <references /> | ||
Version du 27 octobre 2023 à 09:12
Définition
Une attaque par injection SQL, parfois abrégée SQLi, est une action malveillante par laquelle un hacker utilise ou “injecte” un morceau de code SQL dans une requête, afin de manipuler une base de données et d’accéder à des informations sensibles. Ces informations peuvent compter des listes d’utilisateurs, des coordonnées ou encore des données confidentielles liées à une entreprise.
L’attaque par injection SQL est un type de cyberattaque parmi les plus anciens et les plus répandus sur Internet. Ce type d’attaque a été signalé dès les années 1990, et est malheureusement toujours d’actualité. La plupart des sites web et applications utilisant des bases de données SQL, les attaques par injection SQL peuvent avoir un impact sur un grand nombre d’organisations.[1]
L’injection SQL est une technique permettant d’injecter des éléments, notamment du code de type SQL (Structured Query Language, langage utilisé pour manipuler les bases de données), dans les champs des formulaires web ou dans les liens des pages afin de les envoyer au serveur web. De cette façon, les attaquants outrepassent les contrôles de sécurité et parviennent à afficher ou à modifier des éléments présents dans une base de données, par exemple des mots de passe ou des coordonnées bancaires. L’injection SQL permet ainsi l’accès à toutes les données personnelles (par exemple, des identités ou coordonnées d’utilisateurs ou d’employés) ou non personnelles (les articles présents, les prix de ces derniers, etc.), contenues dans une base de données SQL.[2]
Les attaques SQL sont relativement simple à mettre en oeuvre et peuvent avoir de lourdes concéquences. (exposition des données sensibles, vol de données personnelles et usurpation d'identité, obtention des droits administrateur sur le serveur...) Outre le coût financier qui peut s’avérer très important, les attaques par injection SQL se traduisent également par une perte de confiance des utilisateurs et une atteinte à la réputation de l’entreprise.
Cas d'utilisations et impacts
Une injection SQL peut avoir un impact énorme, surtout si les privilèges sur le serveur et sur la base de données sont trop permissifs.
Tout d’abord, un attaquant peut récupérer des informations sensibles, comme les identifiants et mots de passe des utilisateurs ou les informations relatives aux cartes bancaires. En effet, les injections SQL sont à l’origine de nombreuses compromissions de mots de passe et de données de sites et d’applications web.
Un autre cas d’utilisation de l’injection SQL consiste à détourner la logique prévue de l’application web. L’exemple le plus courant est le contournement d’une page d’authentification. Les attaquants peuvent également être en mesure de lire et d’écrire des fichiers directement sur le serveur, ce qui peut conduire à placer des backdoors (portes dérobées) sur le serveur, puis à prendre le contrôle de l’application.[3]